Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Di seguito vengono descritti tutti i bollettini sulla sicurezza relativi a Dataflow.

Per ricevere i bollettini sulla sicurezza più recenti, procedi in uno dei seguenti modi:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi l'URL del feed direttamente al lettore di feed: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Pubblicato: 03/07/2024

Descrizione Gravità Note

Descrizione	Gravità	Note
Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387 in OpenSSH. I job Dataflow potrebbero creare VM che usano un'immagine sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire a utenti malintenzionati di ottenere l'accesso root alle VM worker di Dataflow. Le VM worker di Dataflow con indirizzi IP pubblici e SSH esposte a internet devono essere trattate con la massima priorità per la mitigazione. Che cosa devo fare? È disponibile un'immagine VM Dataflow con patch che include un OpenSSH aggiornato. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione delle pipeline e quindi di applicare le mitigazioni descritte, se necessario. Non consentire SSH alle VM worker Dataflow Questa azione è la mitigazione più efficace contro le vulnerabilità attuali e future in SSH. L'accesso SSH alle VM worker di Dataflow non è necessario per il funzionamento di Dataflow o per il debug della maggior parte dei problemi di Dataflow. Utilizza il seguente comando di Google Cloud CLI per disabilitare SSH per le VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Per annullare questa azione, utilizza il comando `gcloud compute firewall-rules delete block-ssh-dataflow`. Aggiorna o riavvia le pipeline di flusso a lunga esecuzione Questa azione risolve la vulnerabilità specifica menzionata in questo bollettino. Tutti i job Dataflow avviati dopo il 4/07/2024 alle 22:00 PDT utilizzano l'immagine VM con patch. Per le pipeline di flusso avviate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviare il job. Identificare quali job Dataflow hanno VM worker con indirizzi IP pubblici A meno che l'accesso non sia bloccato dai firewall, le porte SSH delle VM worker Dataflow con indirizzi IP pubblici sono aperte a internet. Per ottenere un elenco dei job Dataflow che hanno avviato VM con indirizzi IP esterni, utilizza il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Per esaminare l'elenco di tutte le VM con indirizzi IP esterni nel tuo progetto, utilizza il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Disabilita gli IP pubblici nei tuoi job Dataflow Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. A meno che l'accesso non sia bloccato da un firewall, questa configurazione lascia le porte aperte agli altri utenti con accesso a questa rete. Le pipeline Dataflow che non accedono alla rete internet pubblica non devono utilizzare indirizzi IP pubblici. Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma che non hanno bisogno dell'accesso a internet pubblico, disattiva gli indirizzi IP esterni per queste pipeline. Per le istruzioni, vedi Disattivare l'indirizzo IP esterno. Quali vulnerabilità vengono affrontate? La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli utenti malintenzionati di ottenere l'accesso root alle VM dei worker di Dataflow. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni attacco. Non siamo a conoscenza di tentativi di sfruttamento.	Medio	CVE-2024-6387

Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387 in OpenSSH. I job Dataflow potrebbero creare VM che usano un'immagine sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire a utenti malintenzionati di ottenere l'accesso root alle VM worker di Dataflow. Le VM worker di Dataflow con indirizzi IP pubblici e SSH esposte a internet devono essere trattate con la massima priorità per la mitigazione.

Che cosa devo fare?

È disponibile un'immagine VM Dataflow con patch che include un OpenSSH aggiornato. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione delle pipeline e quindi di applicare le mitigazioni descritte, se necessario.

Non consentire SSH alle VM worker Dataflow

Questa azione è la mitigazione più efficace contro le vulnerabilità attuali e future in SSH.

L'accesso SSH alle VM worker di Dataflow non è necessario per il funzionamento di Dataflow o per il debug della maggior parte dei problemi di Dataflow.

Utilizza il seguente comando di Google Cloud CLI per disabilitare SSH per le VM Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Per annullare questa azione, utilizza il comando gcloud compute firewall-rules delete block-ssh-dataflow.

Aggiorna o riavvia le pipeline di flusso a lunga esecuzione

Questa azione risolve la vulnerabilità specifica menzionata in questo bollettino.

Tutti i job Dataflow avviati dopo il 4/07/2024 alle 22:00 PDT utilizzano l'immagine VM con patch. Per le pipeline di flusso avviate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviare il job.

Identificare quali job Dataflow hanno VM worker con indirizzi IP pubblici

A meno che l'accesso non sia bloccato dai firewall, le porte SSH delle VM worker Dataflow con indirizzi IP pubblici sono aperte a internet.

Per ottenere un elenco dei job Dataflow che hanno avviato VM con indirizzi IP esterni, utilizza il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Per esaminare l'elenco di tutte le VM con indirizzi IP esterni nel tuo progetto, utilizza il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Disabilita gli IP pubblici nei tuoi job Dataflow

Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. A meno che l'accesso non sia bloccato da un firewall, questa configurazione lascia le porte aperte agli altri utenti con accesso a questa rete.

Le pipeline Dataflow che non accedono alla rete internet pubblica non devono utilizzare indirizzi IP pubblici.

Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma che non hanno bisogno dell'accesso a internet pubblico, disattiva gli indirizzi IP esterni per queste pipeline. Per le istruzioni, vedi Disattivare l'indirizzo IP esterno.

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli utenti malintenzionati di ottenere l'accesso root alle VM dei worker di Dataflow. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni attacco. Non siamo a conoscenza di tentativi di sfruttamento.

Medio

CVE-2024-6387